Gebyret blir gitt fordi kommunen ikke hadde gjennomført egnede tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen. I vurderingen ble det lagt vekt på blant annet:
- Et av bruksområdene til appen er at foresatte skal sende meldinger om sine barn eller gi beskjed om fravær ved bruk av fritekstfelt. Det legger til rette for å kommunisere sensitive personopplysninger, slik som helseopplysninger, om barna. Det finnes ingen tekniske tiltak for å forhindre at det skjer, og det informeres heller ikke i appen om at man ikke skal kommunisere slike opplysninger. Hadde man tatt hensyn til innebygd personvern, ville det ikke vært et fritekstfelt, men for eksempel en nedtrekksliste eller avkrysningsbokser.
- Manglende sikkerhet rundt innloggingen i appen har gjort det mulig for uvedkommende å få tilgang til å se og endre personopplysninger til mer enn 63000 barn i grunnskolen i Oslo.
- Mangelfull sikkerhetstesting før lanseringen av appen førte til at den ble lansert med sårbarheter som er godt kjent i sikkerhetsmiljøer verden over.
Kommunen har ikke vært bevisst sitt ansvar og har lansert en skolemeldingsapp med en uakseptabel sårbarhet uten å gjennomføre egnede tiltak for å lukke sårbarhetene. De har også hatt mangelfull kontroll med leverandøren når det gjelder resultater av sikkerhetstestingen.
Lavere gebyr enn varslet
Datatilsynet har imidlertid kommet til at det varslede gebyret på 2 millioner må nedjusteres noe. Vi har i vurderingen lagt vekt på at Oslo kommune har iverksatt tiltak for å begrense skadene så raskt som kommunen fikk kunnskap om bruddet. Kommunen har vist vilje til å ordne opp i hendelsen.
Last ned
Les vedtaket om gebyr til Oslo kommune Utdanningsetaten (pdf)